Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Eric Battistoni : Trusted Application, le signe d’une démarche sécurité

avril 2008 par Marc Jacob

Bee Ware positionne son offre d’audit Trusted Application comme la première étape d’une démarche globale pour faciliter la mise en œuvre et l’utilisation des applications Web. Cette solution permet d’apporter un environnement de sécurité répondant aussi bien aux attentes des responsables applicatifs qu’à celle des utilisateurs. Pour Eric Battistoni, VP Marketing et Stratégie de Bee Ware, « Trusted Application » est avant tout la marque d’une prise de conscience et le signe de l’engagement de l’entreprise à réaliser une démarche sécurité.

GSM : Vous positionnez votre offre d’audit Trusted Application comme la première étape d’une démarche globale. Pouvez-vous nous en dire plus sur cette démarche ?

Eric Battistoni : La mission de Bee Ware est de faciliter la mise en œuvre et l’utilisation des applications Web en leur apportant un environnement de sécurité répondant aussi bien aux attentes des responsables applicatifs qu’à celles des utilisateurs.
La solution d’audit que nous proposons est l’étape initiale qui va permettre de créer cet environnement. Son objectif n’est pas uniquement de faire une recherche de vulnérabilités (comme le font les scanners) ou de démontrer la possibilité de réaliser une intrusion (tels que le pratiquent les Tests de Pénétration), mais d’apporter aux différents responsables une visibilité globale sur l’application, sur sa structure, ses points sensibles et donc de rendre disponibles toutes les données utiles nécessaires à la conception d’un véritable plan d’action.

GSM : Quel est donc le périmètre de votre approche « Trusted Application » ?

Eric Battistoni : Nous avons baptisé « Trusted Application » cet environnement de sécurité parce que sa finalité est de permettre une utilisation de l’application dans des conditions de confiance optimum. Cette confiance commence avec la qualité du code de l’application mais elle englobe également la protection des données stockées, la validité des schémas d’authentification, la résistance contre les attaques ou autres malversations. La sécurité applicative est plus qu’une simple case à cocher dans un formulaire ou une boite à installer devant son serveur, elle doit au contraire intégrer de multiples aspects tels que les technologies mises en œuvre, la logique métier, le profil des utilisateurs…

GSM : « Trusted Application » se positionne donc comme une sorte de label qualité ?

Eric Battistoni : Tout à fait. Ce label témoigne en effet d’une prise de conscience des enjeux de la sécurité applicative et d’une approche visant à son amélioration. La sécurité applicative est une démarche à la fois permanente et progressive. Ce label est donc à la fois la garantie que des moyens techniques appropriés à la sécurité de l’application sont mis en œuvre mais aussi la signature et l’engagement de l’entreprise à poursuivre une démarche sécurité.

GSM : Avoir fait auditer son application est-il suffisant pour bénéficier du Label Trusted Application ?

Eric Battistoni : Un audit n’est pas une finalité en soi, au contraire il est là pour engager une démarche sur des bases concrètes. Il ouvre les yeux des responsables applicatifs et leur donne différentes pistes d’amélioration. Un audit est bien évidemment conçu pour être suivi d’actions (correction, amélioration, contrôle et suivi).
Comme évoqué précédemment, la sécurité d’une application fait appel à différentes notions, cela signifie également qu’une sécurité applicative se construit progressivement en menant une démarche d’amélioration sur l’ensemble de points nécessaires. Le label « Trusted Application » obtenu avec l’audit peut être comparé à l’obtention d’un Passeport Sécurité dont les pages ne demandent plus qu’à être complétées des différents visas appropriés.

GSM : Par exemple, quel pourrait être le Passeport Sécurité d’une application Web ?

Eric Battistoni : Tout d’abord ce passeport apporte une information concrète, résultant de l’audit. Il donne aux différentes parties concernées (décideurs, développeurs, administrateurs…) une visibilité applicative, c’est-à-dire une base de dialogue permettant une réflexion argumentée et des décisions d’action. Dans certains cas la priorité pourra être donnée à des missions spécifiques telles que l’amélioration (correction) du code ou le renforcement des authentifications, dans d’autres cas il sera plus pertinent de privilégier la protection contre les attaques ou la mise en place d’un monitoring régulier du trafic…
Voilà des exemples de « visas » que l’audit va permettre de déterminer comme étant les actions garantes de la sécurité de l’entreprise ou de l’organisation qui déploie l’application, et de ses utilisateurs, clients ou partenaires.

GSM : Mais une application complètement sécurisée ne devrait-elle pas bénéficier de la totalité de ses moyens ?

Eric Battistoni : En théorie, oui bien sûr. Mais plutôt que de définir un objectif certes parfait mais malheureusement inatteignable ou irréaliste, nous avons voulu que le label « Trusted Application » soit avant tout la marque d’une prise de conscience et le signe de l’engagement de l’entreprise à réaliser cette démarche sécurité.
La sécurité des réseaux ne s’est pas construite en un jour, il en sera de même pour la sécurité applicative. Aujourd’hui nous n’en sommes qu’aux prémices, grâce à l’audit nous fournissons l’information nécessaire pour que toutes les parties concernées puissent collaborer et avancer. C’est une démarche et un effort qui méritent d’être signalés.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants